UPN 照合を使用して、Office 365 Azure、Intune の ID 同期を使用する方法

元の製品バージョン:  Azure Active Directory クラウド サービス (Web ロール/ワーカー ロール)、Microsoft Intune
元の KB 番号:   3164442

概要

Microsoft クラウド サービス管理ツールを使用してそのアカウントが最初に作成された場合は、ユーザー アカウントの権限のソースを転送する必要がある場合があります。 これらのツールには、次のものが含まれます。

  • ポータルOffice 365ポータル
  • Microsoft PowerShell の Microsoft Azure Active Directory モジュール
  • Azure 管理ポータル
  • Intune ポータル

権限のソースを転送できます。そのため、アカウントはローカル ディレクトリ サービスを介して管理できます (Azure Azure Active Directory) AD。

この記事では、UPN 照合と呼ばれるプロセスを使用して転送 を実行する方法について説明します。 このプロセスでは、ユーザー プリンシパル名 (UPN) を使用して、オンプレミスのユーザー アカウントと Azure AD の仕事または学校のアカウントを一致AD。

UPN の一致の制限

UPN 照合プロセスには、次の技術的な制限があります。

  • UPN 照合は、SMTP 一致が失敗した場合にのみ実行できます。 SMTP 照合の詳細については、「SMTP 照合を使用して、オンプレミスのユーザー アカウントとディレクトリ同期用のユーザー アカウントOffice 365一致する方法」を参照してください。 UPN 照合が機能するには、オンプレミスのユーザー アカウントと Azure AD のユーザー アカウントの間にプライマリ SMTP アドレスが一致AD。

  • UPN 照合は、管理ツールを使用して最初に作成されたユーザー アカウントに対Office 365使用できます。 その後、仕事または学校のアカウントは、UPN ではなく、変更できない ID 値によってオンプレミスのユーザーにバインドされます。

  • UPN 照合プロセス中にクラウド ユーザーの UPN を更新できない。 これは、UPN がオンプレミス ユーザーをクラウド ユーザーにリンクするために使用される値だからです。

  • UPN は一意の値と見なされます。 同じ UPN を持つユーザーが 2 人もいなかからなことを確認します。 それ以外の場合、同期プロセスは失敗し、次の例のようなエラー メッセージが表示される場合があります。

    ローカル Active Directory でこのオブジェクトMicrosoft Online Services関連付けられているユーザー プリンシパル名が既に別のオブジェクトに関連付けられているため、このオブジェクトを更新できません。 このエラーを解決するには、ローカル Active Directory の関連オブジェクトを削除します。

UPN 照合を使用してオンプレミスユーザーとクラウド ID を照合する方法

UPN 照合プロセスを開始するには、次の手順を実行します。

  1. 2016 年 3 月 30 日より前に Azure AD との同期を開始した場合は、次の Azure AD PowerShell コマンドレットを実行して、ご自分の組織に対してのみ UPN あいまい一致を有効にします。

    Set-MsolDirSyncFeature -Feature EnableSoftMatchOnUpn -Enable $True
    

    注意

    UPN ソフトマッチは、2016 年 3 月 30 日以降に Azure AD同期を開始した組織に対して自動的に有効になります。

  2. Azure アカウントのユーザー アカウントから UPN を取得AD。 これを行うには、次のいずれかの方法を使用します。

    • 方法 1: ポータルのOffice 365します。

      1. グローバル管理者としてOffice 365ポータルにサインインします。
      2. [ユーザーの管理] ページに移動します。
      3. ユーザーを検索して選択します。
      4. ユーザー名 (UPN) をメモします。
    • 方法 2: Azure portal を使用します。

      1. グローバル管理者として Azure portal にサインインします。
      2. Active Directory 拡張機能を選択し、ディレクトリを選択します。
      3. [ユーザーの管理] ページに移動します。
      4. ユーザーを検索して選択します。
      5. ユーザー名 (UPN) のメモ。
  3. ドメイン コントローラーまたはリモート サーバー管理ツールがインストールされているコンピューター (RSAT) で、Active Directory ユーザーとコンピューターを開きます。 Azure AD のターゲット ユーザー アカウントに一致するユーザー名/UPN を使用して、ユーザー アカウントを作成するか、既存のユーザー アカウントを更新AD。 詳細については、「Create a User Account in Active Directory Users and Computers」を参照してください

  4. ディレクトリ同期を強制します。 詳細については、「強制的なディレクトリ同期 」を参照してください

詳細情報

UPN ソフトマッチの詳細については、「Azure AD Connect同期サービスの機能」を参照してください

さらにヘルプが必要ですか? Microsoft コミュニティ または Azure Active Directory Forums (英語情報) Web サイトを参照してください。